Tag Archives: DNS

Olulisemad turvanõrkused 2024. aasta 7. nädalal

Oht DNS-serveritele – teadurid leidsid 20 aastat vana disainivea DNSSECi spetsifikatsioonis

Teadurid avastasid uue DNS-iga seotud haavatavuse, mis sai nimeks KeyTrap. Vea (CVE-2023-50387) näol on tegemist Domain Name System Security Extensionsi (DNSSEC) disainiveaga. DNSSEC võimaldab tagada, et internetist domeeninime otsimisel saadav teave on autentne ja seda ei ole rikutud. Teisisõnu aitab lahendus suunata kasutajaid legitiimsetele veebilehtedele. KeyTrapi-nimelist turvanõrkust kasutades on võimalik peatada kõikide haavatavate DNSSECi kontrollivate DNS-serverite töö. See tähendab omakorda seda, et veebilehed, meiliserverid jms, mis nendest DNSSECi teenustest sõltuvad, ei pruugi tavapäraselt enam töötada. KeyTrapi rünnak võib vea avastanud teadlaste hinnangul mõjutada ka populaarseid avalikke DNSSECi valideerimisteenuste pakkujaid (Google ja Cloudflare). Täpsemalt saab turvanõrkuse kohta lugeda viidatult linkidelt (SW, TR, BC).

Microsoft parandas väga kriitilise turvanõrkuse

Microsoft parandas igakuiste tooteparanduste raames 73 haavatavust, nende hulgas kaks nullpäeva turvanõrkust. 73-st parandatud turvaveast hinnati viis haavatavust kriitiliseks. Üheks olulisemaks parandatud turvaveaks on haavatavus tähisega CVE-2024-21413 (tuntud ka kui MonikerLink), mis seab ohtu kõik aegunud Outlooki tarkvara kasutavad kasutajad. See võimaldab ründajal mööda minna “Office Protected View” turvaseadistusest. Ründaja võib ohvrile saata teatud kujul e-kirja ja kui ohver kasutab haavatavat versiooni tarkvarast ning kirja loeb, võib tema masinas käivituda halbade kokkusattumiste tagajärjel pahavara. Samuti on ründajal võimalik varastada ohvriga seotud NTLM-räsisid, mida on potentsiaalselt võimalik edasistes küberrünnetes kuritarvitada. Täpsema nimekirja parandustest leiab lisatud linkidelt (CP, BC, HN).

Adobe parandas enda toodetel vähemalt 30 turvanõrkust

Adobe on välja andnud värskendused, et parandada vähemalt 30 turvanõrkust mitmes laialdaselt kasutatavas tarkvaras, sealhulgas Adobe Acrobat, Reader, Commerce, Magento Open Source jpt. Need vead võivad lubada ründajatel käivitada kahjulikku koodi, turvameetmetest mööda minna või häirida rakenduste tööd. Adobe soovitab kasutajatel need värskendused kiiresti rakendada, et kaitsta end võimalike rünnakute eest. Ettevõtte sõnul ei ole hetkel informatsiooni, et turvanõrkusi oleks suudetud ära kasutada ka reaalsete rünnakute jaoks (SW, Adobe).

Zoomi tarkvaras parandati seitse turvaviga, sh üks kriitiline turvanõrkus

Zoom on parandanud oma Windowsi rakendustes kriitilise turvavea, mille abil võivad häkkerid saada ohvri arvutis kõrgemad õigused. Turvaviga tähistatakse kui CVE-2024-24691 ja see mõjutab mitut Windowsile mõeldud Zoomi rakendust, sealhulgas töölaua- ja VDI-kliente ning Meeting SDK-d. Täpsema nimekirja mõjutatud tarkvaraversioonidest leiab viidatud lingilt. Konkreetse turvavea ärakasutamiseks on vaja kasutajapoolset tegevust, näiteks seda, et kasutaja klõpsaks pahaloomulisel lingil. Lisaks sellele kriitilisele haavatavusele parandatakse Zoomi uusima värskendusegaka kuus muud turvanõrkust. Ettevõte soovitab tarkvara kasutajatel rakendada uuendused esimesel võimalusel (BC, Zoom).

ESET paikas Windowsile mõeldud tarkvaral kõrge mõjuga turvavea

ESET, kes arendab seadmetele viirusetõrjetarkvara, parandas Windowsi arvutitele mõeldud tarkvaral tõsise turvavea. Nimelt võimaldab CVE-2024-0353 tähisega haavatavus ründajatel saada volitamata juurdepääsu kohtadele, kuhu nad ei tohiks pääseda. Haavatavus leiti tarkvara sellest osast, mis kontrollib internetiga seotud võrguliiklust. Täpsem nimekiri mõjutatud tarkvaradest on toodud viidatud linkidel. Ettevõte soovitab rakendada parandused esimesel võimalusel. Viirusetõrjetarkvarades peituvad turvavead on üsna ohtlikud, kuna need tarkvarad vajavad enda tööks süsteemis tavaliselt kõrgendatud õiguseid. See tähendab, et kui ründajal õnnestub viirusetõrjetarkvara kompromiteerida, on tal potentsiaalselt võimalik kõrgendatud õigustega jätkata pahaloomulist tegevust süsteemis, suurendades ohtu lõppkasutajale (SA, ESET).   

Riigivõrgu seade, mille küljes on hulga seadmeid.

Ülevaade Eesti juur DNS serveritest ning .com ja .net koopiatest

Domeeninimede süsteem ehk DNS ulatab arvutikasutajatele abikäe. Tänu DNS serveritele ei pea inimesed pähe tuupima pikki IP-aadresse: RIA kodulehe külastamiseks ei pea kirjutama aadressi reale 141.101.90.17, vaid piisab, kui trükkida ria.ee. Numbrilised IP-aadressid on hea viis, kuidas masinad, arvutid ja muud seadmed omavahel suhtlevad. Kasutajal on palju raskem seesuguseid jadasid meelde jätta. Kui on soov Google’i esilehele jõuda, siis kirjutatakse „google.com“, mitte 2607:f8b0:4004:c06:0:0:0:69. DNS server on arvuti, mis suudab kokku viia masinatele meelt mööda IP-aadressi ja inimmõistusele lihtsama veebilehe aadressi.

Millised nimeserverid töötavad Eestis? Eesti on kasutusel D, E, F, I, J ja K root DNS serverid, lisaks ka .com ja .net domeenide koopiat hoidev b.gtld-servers.net. Loetletud nimeserveritest kõige värskem on kuu alguses lisandunud J root DNS ning Eesti esimesed .com ja .net koopiad.

Sideteenuse pakkujatele on need interneti alustaristut kindlustavad teenused kättesaadavad läbi Eesti internetisõlmpunkti RTIX-i. Riigi Infosüsteemi Ameti pakutav RTIX on riigi hallatav dubleeriv interneti sõlmpunkt, mis ühendab Eesti internetivõrgud. Selle eesmärk on tagada võrkude omavaheline liiklus ka siis, kui ühendus välisriikidega on mingil põhjusel häiritud. Samuti on RTIX vahendusel otse kättesaadavad kõik .ee tsooni koopiad. Lisandunud hüvedest saavad automaatselt osa sideteenuse pakkujad, kes on liitunud RTIX-ga ning kasutavad RTIX route servereid. 

Miks on oluline, et root DNS või .com ja .net asuvad sulle lähedal?

Root DNSi toimimine on ühtlasi ka interneti toimimise alustala, sest just see teenus hoiab nimekirja, kus asuvad erinevate üladomeenide tsoonide nimeserverid. Näiteks teab root DNS, et .ee nimede kohta tasub küsida .ee tsooni autoriteetsest viiest nimeserverist koos vastavate IP aadressidega: b.tld.ee, e.tld.ee, ee.aso.ee, ee.eenet.ee ja ns.tld.ee.

Mida lähemal on root DNS sinu nimesid lahendavale DNSile, seda kiiremini tuleb ka vastus ehk domeeninimi (www.ria.ee) teisendatakse IP-aadressiks või vastupidi. Selle tulemusena teab sinu arvuti rutem, kus teenus asub, ühendub sinna ning sulle avaneb teenus. Kuid lisaks kiirusele on veelgi olulisem nimede lahendamise tõepärasus. Mida lähemal asub vastus, seda väiksem on võimalus teekonnal vastust mõjutada ning seeläbi sinu internetiliiklust valesti suunata. See ei ole ainult mugavuse, vaid ka turvalisuse küsimus.

Domeenidest on .com ja .net kõige kasutatavamad domeenid ning selle teenuse olemasolu Eestis vähendab ründepinda kõige laiemalt. See ei ole üksnes teoreetiline oht. Siit saate lugeda hiljutist analüüsi, mis kirjeldab, kuidas Mehhiko WhatsAppi kasutajate päringuid manipuleeriti.

https://labs.ripe.net/author/qasim-lone/detecting-dns-root-manipulation/

Miks on oluline, et sinu nimesid lahendav DNS asub sulle lähedal?

Niisiis, nimesid lahendava DNSi jaoks on tähtis, et tema jaoks autoriteetsed allikad asuvad talle lähedal, et kiirendada nimelahendusi ja vähendada nimelahendustega manipuleerimist. Sama oluline on vahemaa, mis lahutab sind ja nimesid lahendavat DNSi.

Mida kaugemal asub sinu jaoks nimesid lahendav server, seda aeglasemalt tulevad vastused ja seda suurem on võimalus pahatahtlikult teenuse pakkuja nimel valesti vastata. Seeläbi on lihtsam suunata liiklust kuhugi, kuhu ta minema ei peaks. Tasub märkimist, et DNS nimelahenduse turvalisust tagav protokoll DNSSEC ei ole selle ründe objektiks, kuna valideerimine leiab aset, siis toimub nimelahendaja teenuse juures. See aga tähendab, et teekond nimelahendaja juurest sinuni on endiselt haavatav. Sellepärast tuleks eelistada neid nimesid lahendavaid teenuseid, mis asuvad sulle võimalikult lähedal või krüpteerida vastavad päringud.

CERT-EE pakub avalikku nimede lahendamise teenust, mis järgib nimede lahendamisel eri turva- ja privaatsusstandardeid. See teenus ei lahenda neid nimesid, mille taga asuvad õngitsus- või pahavara sisaldavad lehed.  CERT-EE teenust saab kasutadakrüpteeritult toetades nii DNS over HTTPS kui ka DNS over TLS protokolle. Globaalsetest teenusepakkujatest on Eesti internetisõlmpunktis RTIX olemas nii Cloudflare 1.1.1.1 kui ka Quad9 9.9.9.9. 

Hiljutine näide juhtumist Eestis, kus suure teenusepakkuja teenuse nimel vastati klientidele valesti. Nimetatud juhtum mõjutas suurt hulka nimelahendusi.

Mida pean tegema, et nimelahendused oleks võimalikult turvalised?

Kasutades CERT-EE nimeservereid ei ole vaja teha midagi, sest siis kasutad Eesti interneti sõlmpunkti RTIX teenust täiel määral. Ka RIA riigivõrgu kliendid ei pea tegema midagi, sest neile on teenusepakkuja poolt tagatud RTIXi teenuste hüved.

Kui sa ei kasuta CERT-EE nimeservereid ega ole riigivõrgu klient, siis küsi oma sideteenuse ja DNS teenuse pakkuja käest, kas ta on RTIX-il kohal ning kasutab RTIX-i route servereid. Ilma eelnevata ei ole võimalik operatiivselt osa saada hüvedest, mida Eesti internetiteenuse sõlmpunkt RTIX pakub.

RIA küberintsidentide käsitlemise osakond (CERT-EE)